View a markdown version of this page

配置 VPC - AWS 规范性指导
防火墙 VPC入站 VPC出站 VPCAmazon VPC 流日志

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

配置 VPC

VPC 是 AWS 中逻辑隔离的网络,类似于传统的数据中心网络。一个强大的网络通常在网络账户中包含三个不同的 VPC:

  • 防火墙 VPC

  • 入站 VPC

  • 出站 VPC

其中每个 VPC 均指定用于特定用途。除本指南中所述之外,不应在这些 VPC 中部署应用程序或其他服务。

创建这些 VPC 时,请选择仅限 VPC 选项。然后,选择 IPAM 分配的 IPv4 CIDR 数据块选项,选择相关的 IPAM 池,并输入相应的网络掩码。

防火墙 VPC

防火墙 VPC 专用于使用 AWS Network Firewall 创建和配置防火墙。在防火墙 VPC 中,创建六个私有子网:

  • 三个子网专用于中转网关连接

  • 三个子网专用于防火墙

入站 VPC

配置网络账户时,请考虑托管在 AWS 上的服务的传入流量。在入站 VPC 中,您可以托管应用程序负载均衡器。您还可以配置组织的标准 AWS WAF 防火墙和其他安全相关服务,以帮助防止可能危及安全的恶意活动。在入站 VPC 中,创建六个子网:

  • 三个用于托管应用程序负载均衡器的公有子网

  • 三个中转网关连接子网,您将在其中为除入站 VPC CIDR 数据块之外的任何其他网络 CIDR 数据块配置到防火墙的路由

出站 VPC

出站 VPC 控制从网络账户发出的流量。在出站 VPC 中,创建以下六个子网:

  • 位于三个不同可用区的三个公有子网,每个子网中都有一个 NAT 网关。

  • 位于三个可用区的三个私有子网,每个子网都包含一个路由表,配置为 0.0.0.0/0,路由到相应公有子网中创建的 NAT 网关 ID。将中转网关连接到私有子网。

将任意私有托管区与出站 VPC 关联。

Amazon VPC 流日志

要记录对网络接口的所有请求以供将来分析,请配置 VPC 流日志。有关更多信息,请参阅 Amazon VPC 文档Configure VPC Flow Logs for centralization across AWS 账户 模式。